Malware escrito em GoLang – uma tendência crescente

Fazendo manchetes

A equipe BlackBerry Threat Research e Intelligence Spear encontrou o grupo de ransomware PYSA voltado para agências de saúde e escolas nos Estados Unidos, usando um novo RAT que eles apelidaram de ChaChi.

• Escrito na linguagem Go, o malware está sendo aproveitado pelos criminosos para implantar ransomware.
• Alegadamente, os agentes de ameaças estão se afastando do malware baseado em C e C ++ devido à agilidade e à facilidade de compilação de código entre plataformas oferecida pela GoLang.
• Isso fornece a eles uma mão livre para direcionar o Windows, Mac e Linux a partir da mesma base de código.
• Além disso, o FBI lançou recentemente um alerta rápido contra o aumento de ataques PYSA contra escolas do Reino Unido e dos Estados Unidos.

Sobre ChaChi

No início, ele tinha recursos de baixo nível, como obscurecimento insatisfatório e nenhum encaminhamento de porta e recursos de túnel DNS. Agora, ele pode ter um desempenho tão bom quanto outros RATs típicos; desde a criação de backdoor e roubo de dados até o tunelamento DNS, despejo de credenciais por meio do Windows Local Security Authority Subsystem Service (LSASS), enumeração de rede e movimentação lateral entre redes, entre outros.

Outro malware GoLang

De acordo com Intezer, detectar malware escrito em GoLang era uma ocorrência rara antes de 2019.

• No final de maio, a Sophos relatou um novo ransomware, Epsilon Red , escrito na linguagem Go. Ele supostamente visava uma empresa sediada nos Estados Unidos no setor de hospitalidade e uma empresa de TI sediada na Índia, a Nucleus Software .
• No ano passado, os desenvolvedores por trás do ransomware JSWorm mudaram a linguagem de programação do malware de C ++ para Golang.
• Palo Alto encontrou cerca de 10.700 amostras exclusivas de malware escritas em GoLang, com 92% das amostras compiladas para o sistema operacional Windows.

Algumas das variedades de ransomware notórias escritas em Go incluem RobbinHood, Nefilim e EKANS. Grupos russos e chineses patrocinados pelo estado têm lançado exclusivamente malware baseado em GoLang . Zeboracy e WellMess são dois malwares russos, enquanto Godlike12 e  Go Loader são malwares chineses que destacam essa tendência.

O resultado final

O uso de GoLang entre os autores de malware nos últimos tempos tem aumentado constantemente. As organizações são aconselhadas a educar seus funcionários sobre essas ameaças crescentes, ao mesmo tempo em que ficam atentos aos avisos divulgados por pesquisadores de segurança e agências de inteligência.

Fonte: https://cyware.com